رضا اردانه
۱۰ اردیبهشت ۱۳۹۷

امنیت در vSphere – بخش پنجم

۰ دیدگاه
مقاله آموزشی
امتیاز دهید

همانطور که می دانید تامین امنیت محیط های کاری یکی از الزاماتی است که در هر مجموعه ای می بایست بررسی و پیاده سازی شود. در این مقاله می خواهیم با روند امن سازی محیط vSphere و راهکارهای بهینه این فرآیند آشنا شویم. بخش پنجم

چهارمین قدم مدیریت دیواره آتش هاست ESXi می باشد. با مدیریت صحیح دیواره آتش می توانید از ورود یا خروج ترافیک های خود جلوگیری کنید. . به منظور مدیریت دیواره آتش بر روی هاست خود ابتدا وارد محیط WebClient شده و بر روی هاست مدنظر در زیر مجموعه Hosts and Clusters کلیک کرده و از سربرگ Configure گزینه Security Profile را انتخاب کنید.

در این بخش می توانید از قسمت Firewall بر روی گزینه Edit کلیک کرده و سرویس های اضافی را غیرفعال کنید.

پنجمین قدم استفاده از ویژگی Lockdown می باشد. با استفاده از این ویژگی در صورتیکه هاست های شما توسط سرویس vCenter مدیریت می شوند می توانید دسترسی ورود مستقیم به هاست را قطع کنید. به منظور مدیریت Lockdown بر روی هاست خود ابتدا وارد محیط WebClient شده و بر روی هاست مدنظر در زیر مجموعه Hosts and Clusters کلیک کرده و از سربرگ Configure گزینه Security Profile را انتخاب کنید.

در این بخش می توانید از قسمت Lockdown بر روی گزینه Edit کلیک کرده و اقدام به فعالسازی این ویژگی نمایید. در این بخش غیر از گزینه Disable دو گزینه دیگر وجود دارد. گزینه Normal دسترسی به هاست را تا زمانیکه سرویس vCenter برقرار است می بندد اما سرویس DCUI را غیر فعال نمی کند تا اگر سرویس vCenter از کار افتاد و دسترسی به WebClient میسر نبود شما بتوانید با استفاده از حساب های کاربری مشخص به هاست ESXi خود متصل شوید. گزینه Strict علاوه بر گرفتن دسترسی اتصال مستقیم به ESXi سرویس DCUI را نیز غیرفعال می کند و زمانیکه سرویس vCenter شما از کار بیافتد تنها راه برای شما مدیریت شرایط پیش آمده توسط اتصال SSH به هاست ESXi می باشد. در صورتیکه نتوانید با اتصال SSH مشکل را برطرف کنید می بایست هاست ESXi خود را مجددا نصب نمایید.

نکته: حساب های کاربری مدنظر می بایست در لیست Exception Users در بخش تنظیمات Lockdown Mode قرار گیرند.

قدم ششم استفاده از Certificate Manager که یک محیط CLI است جهت ایجاد گواهینامه معتبر می باشد. برای دسترسی به این محیط به محیط PSC خود SSH زده و دستور زیر را اجرا کنید:

/usr/lib/vmware-vmca/bin/certificate-manager

در این محیط شما می توانید گواهینامه VMCA را تولید کنید. VMCA گواهینامه پیش فرض سرویس vCenter می باشد که وظیفه امن سازی ارتباط بین هاست های ESXi و vCenter را دارد. این گواهینامه به صورت پیش فرض به صورت Self-Sign ایجاد شده است تا زمانیکه شما یک گواهینامه معتبر از شرکت ثالث جایگزین آن نمایید. در صورت عدم داشتن CA معتبر از یک شرکت ثالث می توانید به همین Self-Sign CA اکتفا کنید.

جهت بازتولید گواهینامه برای یک هاست می توانید با ورود به محیط WebClient سرویس vCenter بر روی هاست مورد نظر خود راست کلیک کرده و از گزینه Certificate مورد New Certificate را انتخاب کنید.

قدم هفتم استفاده از سرویس MOB یا Managed Object Browser می باشد. دسترسی به این سرویس با وارد کردن آدرس WebClient سرویس vCenter در مرورگر و اضافه کردن /mob به انتهای آن امکانپذیر است. جهت تایید احراز هویت مشخصات حساب کاربری ورود به vCenter را وارد کنید.

نکته: هرگونه تغییرات در این محیط به صورت Real Time اعمال می شود.

در این محیط شما می توانید از طریق Object های مختلف عملیات های مختلف انجام دهید. به طور مثال می توانید اقدام به ایجاد Task Schedule کنید و یا لایسنس های vCenter را مدیریت کنید.

امتیاز دهید

دیدگاهتان را بنویسید

preloader